２．データの透明性をいかに築くか

亀井　コロナ下で公衆衛生の観点から個人情報に踏み込むコンタクトトレーシング（接触追跡）の取り組みが話題になりました。それに先立ち、国際社会において個人情報の保護を強化していく「ＥＵ一般データ保護規則（General Data Protection Regulation）」、いわゆる「ＧＤＰＲ」が事前に発効されていて良かったと言われていますね。コンタクトトレーシングは「ＧＤＰＲの産物」だと。しかし、一般的な感覚からすると、例えばヨーロッパのホームページを閲覧した時に、Cookieポリシーに同意するか否か、みたいな問い合わせがいちいち出てきて、それを形式的にOKと選択しているだけでは、どうも情報を自己決定しているような感じはしません。この自己決定のプロセスが、今後どういうふうにデザインされていくのか、普通に暮らす人々には見えにくいところがあると感じています。

宮田　データを扱う際に、それをどう使うか、国や企業に「睨みをきかせた」点で GDPRは評価できるます。ただし、GDPRの全てを称賛できるわけではないですね。運用面では、杓子定規な側面もあります。ただ、それを考慮しても、私たちが言うところの「データ基本権」の第一陣としての構成要素として、GDPRを皮切りにデータにアクセスする権利やデータポータビリティー権を保障することが規定されたところに、意義はあったと思います。日本においては、それらの権利の整備もまだまだですから。

亀井　今回のLINEの件もありましたけども、日本において、データの透明性をいかに築いていくかは課題であり、発展途上ですね。具体的にうまくいっている例はあるんでしょうか。
 


宮田　実現されている世界の一例が、エストニアの情報政策です。エストニアでは、情報の透明性を出すための施策を、徹底した形で実現しています。彼らは情報というものを、市民側が自己コントロールできるという理念のもと、仕組みを作っています。例えば、医者であればいつでも患者の情報は閲覧できるようにしますが、患者情報を治療目的以外に利用するとお縄になりますよ、といったものです。しかも、誰がどの情報にアクセスしたかが履歴やログで残るので、情報を提供した患者（個人）の側も、誰に見られたかを把握できるわけです。もし怪しい履歴が残っていれば、本人が疑義を申し立てることができる。なおかつ、エストニアではそれらの情報を、他国にバックアップしています。

亀井　彼らは過去の歴史から自国の政府が他国に乗っ取られることまで想定していますよね。

宮田　仮にどこかの国に侵略された場合にも、国のアイデンティティーを失わないように、あえて外にデータを置いているわけですね。といっても、自国にデータがあるから安心というわけではないし、外に置いておくことそのものが悪というわけではありません。もちろん、コントロールが及ばない状態で相手国の法律に依存して、あらゆるデータが好き勝手に使われるような状況は危険です。しかし、エストニアのように、バックアップのために他国で保管し、アクセス権をしっかり規定した上で運用するのは、情報セキュリティ上の観点からも有用な視点だと思います。透明性を高めた形で情報のコントロール権を設定し、人々への説明責任を課しながら、情報の権利をバランスさせていく仕組み。そんな、自己決定権を軸にしたデータ運用のシステムを考える時に、エストニアの事例は参考になると思います。